Die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f) DSGVO) spielt in der Praxis eine zentrale Rolle. Allerdings bietet die Datenschutz-Grundverordnung (DSGVO) erheblichen Interpretationsspielraum. Der Europäische Datenschutzausschuss (EDSA) gab nun klare Leitlinien zur Verarbeitung personenbezogener Daten basierend auf dem berechtigten Interesse heraus und schafft dadurch mehr Klarheit und Einheitlichkeit.
Berechtigtes Interesse nach der DSGVO
In den Leitlinien befasst sich der EDSA im Detail mit den Kriterien aus Art. 6 Abs. 1 lit. f) DSGVO. Nach dieser Vorschrift ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der von der Datenverarbeitung betroffenen Person überwiegen.
Die Anforderungen an diese Erlaubnisgrundlage wirken oft vage und scheinbar leicht zu erfüllen. Der große Interpretationsspielraum hierbei gibt regelmäßig Anlass für Meinungsverschiedenheiten und Rechtsstreitigkeiten.
Der EDSA widerspricht dem in seinen Leitlinien jedoch deutlich und stellt klar, dass diese Rechtsgrundlage nicht als pauschale Rechtfertigung für jede Verarbeitung personenbezogener Daten dienen darf. Dabei heben die Datenschützer insbesondere hervor, dass die Verarbeitung personenbezogener Daten aufgrund berechtigter Interessen nicht lediglich als „letzter Ausweg“ dienen sollte, wenn andere Rechtsgrundlagen nicht anwendbar sind. Gleichzeitig darf sie nicht übermäßig ausgeweitet werden, nur weil sie vermeintlich weniger restriktiv ist als andere Rechtsgrundlagen.
Drei Kriterien des berechtigten Interesses
Um zu bestimmen, ob eine Verarbeitung personenbezogener Daten auf Artikel 6 Abs. 1 lit. f) DSGVO gestützt werden kann, müssen Verantwortliche sorgfältig prüfen, ob die drei folgend dargestellten Bedingungen kumulativ erfüllt sind, um die Rechtmäßigkeit der Verarbeitung sicherzustellen:
- Es muss ein berechtigtes Interesse seitens des Verantwortlichen oder eines Dritten vorliegen.
- Die Verarbeitung muss notwendig sein, um dieses berechtigte Interesse zu verfolgen (Erforderlichkeitstest).
- Die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person dürfen nicht überwiegen (Interessensabwägung).
Besonders wichtig ist dabei die dritte Voraussetzung: Der Verantwortliche muss sorgfältig abwägen, ob sein eigenes Interesse (oder das eines Dritten) stärker wiegt als die Rechte und Interessen der betroffenen Person. Diese sogenannte „Interessenabwägung“ ist verpflichtend und muss vor Beginn der Datenverarbeitung durchgeführt werden – und zwar für jeden Verarbeitungsvorgang, der auf ein berechtigtes Interesse gestützt wird.
Berechtigtes Interesse des Verantwortlichen oder eines Dritten
Grundsätzlich können zahlreiche Interessen als Rechtfertigung für eine Datenverarbeitung herangezogen werden – jedoch nicht uneingeschränkt. Ein berechtigtes Interesse im Sinne von Artikel 6 Abs. 1 lit. f) DSGVO liegt nur vor, wenn es
- rechtmäßig ist, also nicht gegen EU- oder nationales Recht verstößt,
- eindeutig und präzise definiert wurde und
- tatsächlich besteht und aktuell relevant ist.
Eine Speicherung von Daten allein aus der Möglichkeit heraus, dass sie in Zukunft von Interesse sein könnten, kann daher nicht auf diese Rechtsgrundlage gestützt werden.
Der EDSA bleibt in diesem Punkt zwar bewusst vage, da eine vollständige Erfassung aller potenziellen berechtigten Interessen nicht realisierbar ist. Dennoch bieten die Leitlinien Orientierung und konkrete Beispiele:
Beispiele, die nicht als berechtigtes Interesse herangezogen werden können
Werbung für E-Zigaretten per E-Mail
Ein Unternehmen möchte E-Zigaretten und Nachfüllbehälter per Werbe-E-Mail an Kunden in einer bestimmten EU-Region bewerben. Dazu müsste es personenbezogene Daten wie Namen und E-Mail-Adressen verarbeiten. Obwohl Direktmarketing grundsätzlich ein berechtigtes Interesse sein kann, ist es in diesem Fall nicht legitim, da die EU-Tabakproduktrichtlinie Werbung für elektronische Zigaretten in der Informationsgesellschaft verbietet.
Videoüberwachung durch eine Nachbarschaftswache
Eine Nachbarschaftswache plant die Installation eines Videoüberwachungssystems, um mögliche kriminelle Aktivitäten zu überwachen. Der Schutz von Eigentum, Gesundheit und Leben kann ein berechtigtes Interesse sein. Da die Begründung des Vereins jedoch sehr allgemein gehalten ist und keine konkreten Sicherheitsprobleme benennt, ist das Interesse nicht klar genug definiert, um als legitim zu gelten.
Datenbank mit ehemaligen Abonnenten einer Zeitung
Eine Zeitung möchte eine Datenbank mit ehemaligen Abonnenten anlegen, um sie bei der möglichen Einführung eines neuen Magazins erneut kontaktieren zu können. Zum Zeitpunkt der Erstellung der Datenbank gibt es jedoch keine konkreten Pläne für ein neues Magazin. Da das Interesse rein hypothetisch ist, gilt es nicht als „real und gegenwärtig“ und kann daher nicht als legitim betrachtet werden.
Beispiele für berechtigte Interessen Dritter
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Ein Dritter kann ein Interesse daran haben, personenbezogene Daten zu erhalten, um rechtliche Ansprüche geltend zu machen, auszuüben oder sich dagegen zu verteidigen. Beispielsweise entschied der EuGH im Rīgas satiksme Urteil (Urteil vom 04. Mai 2017, Az.: C-13/16), dass es zweifellos als ein erforderliches berechtigtes Interesse angesehen werden kann, wenn eine Person die personenbezogenen Daten eines anderen benötigt, um diesen wegen eines verursachten Schadens auf Schadensersatz zu verklagen.
Offenlegung von Daten zur Förderung von Transparenz und Rechenschaftspflicht
Ein weiterer wichtiger Kontext, in dem ein berechtigtes Interesse eines Dritten bestehen kann, ist die Offenlegung von Daten zur Förderung von Transparenz und Rechenschaftspflicht. Dazu zählt etwa die Veröffentlichung von Gehältern des oberen Managements eines Unternehmens, sofern dies nicht bereits gesetzlich oder vertraglich vorgeschrieben ist. In solchen Fällen liegt das Hauptinteresse nicht bei dem Verantwortlichen, der die Daten offenlegt, sondern bei den Empfängern der Informationen, z. B. den Mitarbeitern oder Aktionären des Unternehmens.
Allgemeine öffentliche Interessen oder spezifische Interessen Dritter
Die berechtigten Interessen Dritter gemäß Artikel 6 Abs. 1 lit. f) DSGVO sind von allgemeinen öffentlichen Interessen zu unterscheiden. In einigen Fällen kann das Interesse eines bestimmten Verantwortlichen oder eines bestimmten Dritten jedoch auch einem breiteren öffentlichen Interesse dienen.
Öffentliche Interessen werden in der Regel durch Artikel 6 Abs. 1 lit. e) oder lit. c) DSGVO abgedeckt, wenn Verantwortliche gesetzlich verpflichtet sind, solche Interessen zu wahren oder zu verfolgen. Beispielsweise müssen private Unternehmen Strafverfolgungsbehörden bei der Bekämpfung illegaler Aktivitäten unterstützen. Wenn ein Verantwortlicher darüberhinausgehende Maßnahmen ergreift, die nicht auf einer gesetzlichen Verpflichtung beruhen, muss er nachweisen, dass dies im eigenen berechtigten Interesse oder im Interesse bestimmter Dritter geschieht.
Wichtig: Ein berechtigtes Interesse darf nicht dazu dienen oder den Effekt haben, gesetzliche Anforderungen zu umgehen.
Beurteilung der Erforderlichkeit der Datenverarbeitung (Erforderlichkeitstest)
Die Verarbeitung personenbezogener Daten darf nicht nur vorteilhaft für die Wahrung berechtigter Interessen sein, sondern muss tatsächlich erforderlich sein und unmittelbar dem verfolgten berechtigten Interesse dienen. Falls hingegen gleichwertige, aber weniger eingreifende Alternativen zur Verfügung stehen, gilt die Verarbeitung nicht als notwendig.
In diesem Zusammenhang ist auch der Grundsatz der Datenminimierung zu berücksichtigen. Demnach dürfen personenbezogene Daten nur verarbeitet werden, wenn sie angemessen, relevant und auf das notwendige Maß für den jeweiligen Zweck beschränkt sind. Bestehen alternative Maßnahmen, die das verfolgte Interesse ebenso wirksam, aber mit weniger Eingriff in den Datenschutz erreichen, ist eine Verarbeitung nach Artikel 6 Abs. 1 lit. f) DSGVO nicht zulässig.
In der Praxis ist es für einen Verantwortlichen in der Regel einfacher nachzuweisen, dass die Verarbeitung zur Wahrung seiner eigenen berechtigten Interessen erforderlich ist, als dies für die Interessen eines Dritten zu tun. Zudem wird eine Verarbeitung im Interesse Dritter von den betroffenen Personen oft weniger erwartet.
Abwägung der entgegenstehenden Interessen der betroffenen Person (Interessensabwägung)
Der wichtigste Schritt ist die Interessenabwägung. Dabei müssen im Rahmen einer Abwägung die Interessen, Rechte und Grundfreiheiten der betroffenen Person den Interessen des Verantwortlichen oder Dritter gegenübergestellt werden. Es sind sowohl individuelle Interessen und Erwartungen als auch die Folgen der Datenverarbeitung zu berücksichtigen.
Neben der Beurteilung der Rechtmäßigkeit des verfolgten Interesses des Verantwortlichen oder eines Dritten sowie der Prüfung der Notwendigkeit der Verarbeitung, wie oben beschrieben, muss der Verantwortliche folgende Faktoren identifizieren und darlegen:
Die Interessen, Grundrechte und Freiheiten der betroffenen Personen
Artikel 6 Abs. 1 lit. f) DSGVO verlangt, dass der Verantwortliche bei der Interessenabwägung nicht nur die Grundrechte und Grundfreiheiten der betroffenen Person berücksichtigt, sondern auch deren Interessen. Diese ausdrückliche Nennung bietet den betroffenen Personen einen erweiterten Schutz, da neben fundamentalen Rechten auch individuelle Interessen in die Bewertung einfließen müssen.
Zu den Grundrechten und -freiheiten gehören nicht nur das Recht auf Datenschutz und Privatsphäre, sondern auch weitere Rechte wie Freiheit und Sicherheit, Meinungsfreiheit, Gedanken-, Gewissens- und Religionsfreiheit, Versammlungsfreiheit, Schutz vor Diskriminierung, Eigentumsrechte sowie körperliche und geistige Unversehrtheit. Diese können direkt oder indirekt durch die Verarbeitung betroffen sein (z. B. durch einen „abschreckenden Effekt“).
Zusätzlich müssen im Abwägungstest auch Interessen der betroffenen Personen einbezogen werden, die durch die Verarbeitung beeinträchtigt werden könnten. Dazu zählen finanzielle, soziale und persönliche Interessen.
Die Auswirkungen der Verarbeitung auf die betroffenen Personen
Nach der Identifizierung der Grundrechte und Interessen der betroffenen Personen muss der Verantwortliche sorgfältig bewerten, welche Auswirkungen die Verarbeitung auf diese Personen haben kann. Dabei sind sowohl positive als auch negative Folgen zu berücksichtigen, ebenso wie die Art der verarbeiteten Daten, der Kontext der Verarbeitung und mögliche weitergehende Konsequenzen.
Art der verarbeiteten Daten, z.B.:
- Besondere Kategorien personenbezogener Daten nach 9 DSGVO und zu strafrechtlichen Verurteilungen und Straftatengenießen nach Art. 10 DSGVO zusätzlichen Schutz und dürfen nur unter besonderen Voraussetzungen verarbeitet werden.
- Manche Daten werden als besonders privat angesehen (z. B. Finanz- oder Standortdaten), während andere eher öffentlich sind (z. B. berufliche Daten).
- Je sensibler die Daten sind, desto wahrscheinlicher ist ein negativer Einfluss auf die betroffene Person, was bei der Interessenabwägung besonders zu gewichten ist.
- Falls möglich, sollte der Verantwortliche prüfen, ob die Datenverarbeitung auf ein Minimum reduziert werden kann.
Kontext der Verarbeitung:
- Der Umfang der Verarbeitung, die Menge der Daten und die Anzahl der betroffenen Personen spielen eine wichtige Rolle.
- Die Beziehung zwischen Verantwortlichem und betroffener Person (z. B. Arbeitgeber-Arbeitnehmer vs. Dienstleister-Kunde) kann die Bewertung beeinflussen.
- Wenn die Daten mit anderen Datensätzen kombiniert werden oder allgemein zugänglich sind, kann dies die Auswirkungen verstärken.
- Besonderer Schutz gilt für Kinder, da sie sich der Risiken und Konsequenzen oft nicht bewusst sind (vgl. Erwägungsgrund 38 DSGVO).
Weitergehende Konsequenzen der Verarbeitung
Die Verarbeitung kann erhebliche Auswirkungen auf die Rechte, Freiheiten und Interessen der betroffenen Personen haben, darunter:
- Entscheidungen Dritter, die auf den verarbeiteten Daten basieren,
- rechtliche Konsequenzen für die betroffene Person,
- Diskriminierung oder Ausschluss,
- Schäden am Ruf oder der Verhandlungsmacht,
- finanzielle Verluste,
- Einschränkungen des Zugangs zu essenziellen Dienstleistungen,
- Gefährdung der Sicherheit, körperlichen oder psychischen Unversehrtheit.
Auch emotionale Auswirkungen sollten berücksichtigt werden, z. B. der Verlust der Kontrolle über persönliche Daten oder das Gefühl, durch ständige Überwachung eingeschränkt zu sein. Besonders relevant ist dies für den abschreckenden Effekt auf geschützte Verhaltensweisen, etwa bei Forschung oder Meinungsäußerung.
Die Beurteilung der Verarbeitung sollte objektiv erfolgen. Wenn viele betroffene Personen ähnliche Interessen teilen (z. B. bei Videoüberwachung), kann eine gemeinsame Bewertung erfolgen. Je eingreifender die Verarbeitung, desto stärker müssen individuelle Umstände berücksichtigt werden. Der Verantwortliche darf nicht einfach davon ausgehen, dass alle betroffenen Personen dieselben Interessen haben, insbesondere in einem Arbeitsverhältnis.
Die berechtigten Erwartungen der betroffenen Person
Nach Erwägungsgrund 47 DSGVO kann ein berechtigtes Interesse eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen, sofern die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Dabei müssen die angemessenen Erwartungen der betroffenen Person berücksichtigt werden, insbesondere im Hinblick auf deren Beziehung zum Verantwortlichen.
Bedeutung der Erwartungen in der Interessenabwägung:
- Betroffene Personen sollten durch die Verarbeitung nicht unangemessen überrascht werden, insbesondere nicht durch deren Konsequenzen.
- Die Tatsache, dass eine bestimmte Verarbeitung in einem Sektor gängig ist, bedeutet nicht automatisch, dass die betroffenen Personen sie auch vernünftigerweise erwarten.
- Die bloße Erfüllung der Informationspflichten nach Art. 13 und Art. 14 DSGVO reicht nicht aus, um davon auszugehen, dass eine Verarbeitung erwartet wird.
Faktoren zur Bewertung der Erwartungen
Die Einschätzung der angemessenen Erwartungen kann durch verschiedene kontextbezogene Faktoren beeinflusst werden:
- Merkmale der Beziehung zwischen Verantwortlichem und betroffener Person
- Besteht eine direkte Beziehung (z. B. Kunde eines Unternehmens) oder nicht?
- Wie eng ist die Verbindung? (z. B. Unternehmensgruppe mit gemeinsamer Marke vs. Unternehmen mit wirtschaftlichen, aber nicht erkennbaren Verbindungen).
- In welchem Kontext und an welchem Ort wurden die Daten erhoben? (z. B. Videoüberwachung in einer Bank ist zu erwarten, in einer Sauna jedoch nicht).
- Welche rechtlichen Anforderungen bestehen (z. B. Vertraulichkeitsverpflichtungen in bestimmten Branchen)?
- Eigenschaften der betroffenen Personen
- Altersgruppe (Kinder haben andere Erwartungen als Erwachsene).
- Öffentliche Bekanntheit der Person (Prominente haben möglicherweise eine höhere Erwartung an Datenschutz).
- Berufliche Stellung und Fachkenntnis (z. B. im Bewerbungsprozess erwarten Personalverantwortliche eher eine Weitergabe von Daten an Bewerber).
Diese Faktoren müssen in die Interessenabwägung einfließen, um sicherzustellen, dass die Verarbeitung im Rahmen der berechtigten Erwartungen der betroffenen Personen bleibt.
Der EDSA führt zur Interessensabwägung einige Beispiele in seinen Leitlinien auf:
Soziales Netzwerk und personalisierte Werbung
Ein Online-soziales Netzwerk finanziert sich durch personalisierte Werbung, die auf Basis von Nutzerdaten wie Konsumverhalten, Interessen und persönlicher Situation zugeschnitten wird. Dazu werden neben den direkt bei der Anmeldung angegebenen Informationen auch zusätzliche Nutzungs- und Gerätedaten gesammelt und mit dem Nutzerkonto verknüpft.
Trotz der kostenlosen Nutzung können die Nutzer vernünftigerweise nicht erwarten, dass ihre personenbezogenen Daten ohne ihre Zustimmung für personalisierte Werbung oder andere Zwecke wie Produktverbesserungen verarbeitet werden.
Verwendung von Online-Fotos für Werbung
Ein Unternehmen erstellt Marketing-Flyer, indem es Gesichtsbilder von Personen nutzt, die öffentlich im Internet oder auf sozialen Medien verfügbar sind. Obwohl die betroffenen Personen ihre Bilder selbst veröffentlicht haben, konnten sie nicht vernünftigerweise erwarten, dass diese von Dritten für kommerzielle Zwecke verwendet werden.
Beide Beispiele zeigen Situationen, in denen die betroffenen Personen nicht mit der Verarbeitung ihrer Daten gerechnet haben, weshalb sie in der Interessenabwägung berücksichtigt werden müssen.
Abschluss der Interessenabwägung
Nachdem der Verantwortliche die berechtigten Interessen, die Rechte und Freiheiten der betroffenen Person, die Auswirkungen der Verarbeitung sowie die angemessenen Erwartungen der betroffenen Person bewertet hat, muss er eine Gesamtabwägung dieser Faktoren vornehmen:
Falls die berechtigten Interessen des Verantwortlichen überwiegen, kann die geplante Verarbeitung auf Artikel 6 Abs. 1 lit. f) gestützt werden.
Falls die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, kann der Verantwortliche zusätzliche Schutzmaßnahmen einführen, um die Auswirkungen der Verarbeitung zu reduzieren und eine ausgewogenere Abwägung zu ermöglichen. Diese Schutzmaßnahmen müssen über die ohnehin bestehenden Pflichten nach der DSGVO hinausgehen. Sie dürfen also nicht lediglich aus Maßnahmen bestehen, die der Verantwortliche ohnehin zur Einhaltung der DSGVO umsetzen muss (z. B. Informationspflichten, Sicherheitsmaßnahmen oder Datenminimierung).
Beispiele für zusätzliche Schutzmaßnahmen:
- Ermöglichung des Rechts auf Löschung auch über die gesetzlichen Vorgaben hinaus.
- Zulassung eines Widerspruchsrechts ohne Einschränkungen gemäß Art. 21 DSGVO.
- Gewährung des Rechts auf Datenübertragbarkeit, selbst wenn die Verarbeitung auf Artikel 6 Abs. 1 lit. f) DSGVO basiert.
Falls Schutzmaßnahmen eingeführt werden, muss der Verantwortliche die Interessenabwägung erneut durchführen, um sicherzustellen, dass die eingeführten Maßnahmen tatsächlich eine ausgewogene Lösung schaffen.
Falls die Interessen, Rechte und Freiheiten der betroffenen Person trotz möglicher Schutzmaßnahmen überwiegen, kann die Verarbeitung nicht auf Artikel 6 Abs. 1 lit. f) DSGVO gestützt werden.
Nachweispflicht des Verantwortlichen
Die Interessenabwägung ist eine Einzelfallprüfung, die so objektiv wie möglich erfolgen sollte. Der Verantwortliche muss nachweisen können, dass die Abwägung angemessen durchgeführt wurde und dass die berechtigten Interessen nicht durch die Rechte der betroffenen Person überlagert werden. Verantwortliche müssen sicherstellen, dass die Anwendung des berechtigten Interesses gut begründet ist und keine Alternative mit geringerer Datenschutzbelastung zur Verfügung steht.
Es ist zu beachten, dass das Ziel der Interessenabwägung nicht darin besteht, jegliche Auswirkungen auf die Interessen und Rechte der betroffenen Personen vollständig zu vermeiden. Vielmehr soll ein unverhältnismäßiger Eingriff verhindert und das Gewicht dieser Aspekte im Verhältnis zueinander bewertet werden.
Fazit
Dass sich der EDSA nun zu den Anforderungen von Artikel 6 Abs. 1 lit. f) DSGVO geäußert hat, ist sehr zu begrüßen. Die Vorschrift ist von hoher praktischer Relevanz, doch ihre Anwendung birgt oft Unsicherheiten. Zwar bleiben die Leitlinien bewusst allgemein, da eine konkrete Beurteilung stets eine Einzelfallprüfung erfordert. Dennoch schaffen sie durch verschiedene Fallbeispiele und Anwendungshinweise mehr Rechtssicherheit.
Unternehmen oder Organisationen, die personenbezogene Daten auf Grundlage (vermeintlich) berechtigter Interessen verarbeiten, sollten unbedingt sorgfältig prüfen und dokumentieren, ob und warum die geforderten Voraussetzungen tatsächlich erfüllt sind. Verantwortliche sollten:
- Eine detaillierte Interessenabwägung durchführen und dokumentieren.
- Transparenz und Informationspflichten gegenüber betroffenen Personen einhalten.
- Technische und organisatorische Schutzmaßnahmen ergreifen, um das Risiko für die Betroffenen zu minimieren.
- Einspruchsrechte der betroffenen Personen berücksichtigen und angemessen darauf reagieren.
Die Umsetzung der EDSA-Empfehlungen erfordert ein hohes Maß an Verantwortungsbewusstsein und Sorgfalt, um die Balance zwischen berechtigtem Interesse und Datenschutz sicherzustellen.